Как удалить чужую сессию пользователя в ubuntu (linux)

Арендую сервер для небольшого проекта на python. И вот приходит мне уведомление, что за сутки очень большой трафик (больше 500 гБайт), хотя реально было всего 3 посетителя. Ладно бы один раз такое, но как минимум двое суток продолжается ситуация, и хостер мне уже extra-счет готовит.

Полез я, значит, разбираться. И выяснилось, что кто-то сидел под root-ом и запустил какой-то скрипт. Теперь давайте по порядку.

Нагрузка по трафику — как все началось

Началось все с письма от хостинг-провайдера, что я превысил трафик-лимит. Странно, ведь посетителей на этом проекте всего-то 3-5 в сутки. Смотрю статистику по сайту — действительно, пару уникальных посещений.

Захожу в админ-панель хостера, а нагрузка шок:

Какая была нагрузка по серверу по дням

Показатели по дням, слева — прошлый месяц, справа — текущий. Как видим, 12, 13 и 14 число сильная нагрузка. 14 числа вечером я стал разбираться.

Так как посетителей немного, подумал что проблема на самом сервере. Захожу, смотрю в процессах (htop) много обращений к файлу ready.txt от скрипта svmap.py, хотя я вообще не понимаю что это. Начинаю ходить по папкам и нахожу новую папку sip, где и размещен этот файл. Что странно — я его точно не создавал.

Какой-то скрипт на сервере

Значит, думается мне, кто-то еще сидит в системе.

Как убрать другие сессии в linux

Проверяю я командой who -u чьи сессии сейчас активны. А кроме меня еще один root , не с моего айпи (он, кстати, бьется по сервисам гугл, хотя ничего не устанавливал). Смотрю его ID процесса и «убиваю».

kill 17164

Сразу меняю пароль на root. Прошлый пароль нигде не палился, не сохранялся, я сидел не под рутом обычно. Да и пароль был не простой, а сгенерированый. Очень странная ситуация.

Что было спустя несколько дней

Трафик сразу упал. Я думаю, что кто-то поставил какой-то скрипт рассылки или что-то вроде того. По активным сессиям никого нового, кто был раньше last -i — тоже пусто.

Как посмотреть кто последний авторизировался на убунту

Трафик стабилизировался, посмотрим что будет дальше.

Как изменился трафик по дням

Я в недоумении от такой ситуации. Я не специалист, но хорошо что так закончилось. У меня на сервере трафик лимитирован (брал под тесты, оставил один проект на сервере), и хостер уже хотел доплату выставлять.

А вы сталкивались с такой ситуацией? Или может такая же история с этим скриптом?

Добавлено позже.

Погуглил, и вижу что sip и скрипт svmap.py это скрипт интернет-защиты. Сканнер на сервере. Но я его точно не ставил, а хостер вряд ли — у меня не куплена поддержка. Да и зачем им она (защита), если она такой трафик тянет и столько обращений к другим айпи? Не понятно.

 

veniamin

Recent Posts

Как заработать токен NOT за стейкинг BNB или FDUSD

Очень много разговоров в последнее время за токен NOT. Много бирж будут делать листинг токена,…

6 месяцев ago

Как заработать TON и NOT за стейкинг в телеграм

Телеграм недавно запустил возможность стейкать (замораживать) USDT и получать за это их валюту TON. Очень…

6 месяцев ago

Бонус 100 USDT +10 BUSD от Binance

Биржа криптовалют Binance проводит сейчас промо-акцию: новым пользователям дают ваучеры в сумме 110 долларов. Деньги…

3 года ago

Как парсить длительность видео youtube на php в привычном виде

Самый главный момент в работе с youtube - это получить ключ api через консоль разработчика…

3 года ago

Как наложить watermark на видео в python windows массово

Тестирую одну схему, и нужно на много видео наложить watermark. Решил делать через Python 3,…

3 года ago

Kwork.ru: опыт поиска исполнителя и поздравление

Пришла в голову одна интересная идея. Связанно с тиктоком. Решил поискать исполнителя, который будет монтировать…

3 года ago